服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
1. UOS支持的防火墙
iptables ufw firewalld Netfilter区别?
iptables ufw firewall 都是前端管理,Netfilter才是内核。
统信的UOS服务器操作系统是基于Debian开发的,因此和Debian和Ubuntu很多命令都是相同的。在Debian和Ubuntu上面可以使用的防火墙在UOS也是可以正常使用的。
默认情况下,Debian使用iptables,Ubuntu有iptables,也使用简单的ufw,在CentOS7 之前使用的是iptables,CentOS 7开始使用firewall,Centos 7前可以使用iptables命令也可以直接编辑文件/etc/sysconfig/iptables,在firewall一般都是使用命令。在Debian和UOS是使用iptables命令,由于不是直接编辑配置文件,需要对iptables命令比较熟悉,再就是对重启生效需要编辑文件设置。ufw也可以在UOS使用,由于是简易的命令,在本文主要讨论怎么使用iptables来设置防火墙功能。
2. 防火墙设置
UOS防火墙设置步骤:
检查iptables有没有安装如果之前有使用CentOS经验使用service iptables status 是检查不出来的,在CentOS中iptables是以服务形式,这里iptables只是配置的前端的命令,也不能使用yum list查看。而是使用apt list|grep iptables 看到已经安装。表示已经正常安装,如果没有安装可以使用apt install iptables 或者apt-get install iptables,如果想要使用ufw安装apt install ufw,如果希望使用firewall,也可以安装后使用。
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
清空原有规则iptables -L 可以查看现有生效的规则
iptables -P INPUT ACCEPT 清空规则前放开INPUT 否则清空以后可能导致无法远程连接
#清空配置
iptables -F【清空规则】
iptables -X 【删除自建链】
iptables -Z 【重置过滤包数据】
服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)
新建规则配置文件之一种方式,编辑/etc/iptables.sh然后赋予执行权限chmod +x /etc/iptables.sh。执行以后规则就生效了,如果需要修改规则每次都可以修改此文件。
第二种方式配置文件/etc/iptables(需要使用/ *** in/iptables-restore 导入规则,可以配置重启时就执行该文件)
#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT
导入规则iptables-save >/etc/iptables 【保存规则】
/ *** in/iptables-restore </etc/iptables 【导入规则】
设置重启生效脚本1.)将iptables.sh脚本放到init.d中每次都重启【需要保障iptables脚本一致都是最新的规则,如果是后续临时修改的规则可能不在其中】
2.)编辑/etc/network/if-pre-up.d/iptables,重启会自动生效。要保障/etc/iptables中规则一致是最新的,每次修改规则可以编辑/etc/iptables 如果是使用iptables命令新增,需要增加iptables-save >/etc/iptables 保存。
#!/bin/sh
/ *** in/iptables-restore < /etc/iptables
3. 防火墙脚本
编辑如下脚本【之一次执行】,后续编辑/etc/iptables,使用/ *** in/iptables-restore < /etc/iptables重新导入,或者直接iptables命令新增,iptables-save>/etc/iptables 保存,防止机器重启无效
#!/bin/sh
#防火墙脚本
echo “#!/bin/sh
/ *** in/iptables-restore < /etc/iptables” >/etc/network/if-pre-up.d/iptables
echo “#清空配置
iptables -F
iptables -X
iptables -Z
#配置,禁止进,允许出,允许回环网卡
iptables -P INPUT DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#允许ping
iptables -A INPUT -p icmp -j ACCEPT
#允许ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
#允许VNC
iptables -A INPUT -p tcp –dport 5900 -j ACCEPT
#学习felix,把 *** tp设成本地
iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT -s 127.0.0.1
iptables -A INPUT -p tcp -m tcp –dport 25 -j REJECT
#允许DNS
iptables -A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
iptables -A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许http和https
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -p tcp –dport 443 -j ACCEPT
# 允许已建立的或相关连的通行
iptables -A INPUT -m state –state ESTABLISHED%2cRELATED -j ACCEPT
#禁止其他未允许的规则访问
iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。)
iptables -A FORWARD -j REJECT” > /etc/iptables.sh
chmod +x /etc/iptables.sh
chmod +x /etc/network/if-pre-up.d/iptables
/etc/iptables.sh
iptables-save > /etc/iptables
/ *** in/iptables-restore < /etc/iptables
4. 关闭防火墙(清空所有规则,删除脚本,关闭重启)
iptables -P INPUT ACCEPT
iptables -F
iptables -X
iptables -Z
rm /etc/iptables*
rm /etc/network/if-pre-up.d/iptables
5. 配置黑白名单
#黑白名单
####当只有部分人可以访问使用白名单,当只有部分人不能访问使用黑名单
##设置链名
iptables -N whitelist
iptables -N blacklist
##设置自定义链规则
iptables -A whitelist -s xxxx ACCEPT
iptables -A blacklist -s xxxx DROP
##设置INPUT规则
iptables -A INPUT -p tcp –dport 22 -j whitelist
iptables -A INPUT -p tcp –dport 22 -j blacklist
#删除规则
iptables -D INPUT 数字(iptables -L INPUT –line-numbers 查看对应链的规则序号)
iptables -D INPUT -p tcp –dport 22 -j whitelist (也可以使用设置规则时相同的命令把A改成D)
#删除自定义链
iptables -X 链名(注意内置链不可删除)
iptables -Z 置零
iptables -F 清空规则
“服务器防火墙怎么设置(常用UOS服务器防火墙设置教程)” 的相关文章
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
最快的勒索软件被发现仅用 4 分多钟就加密了 53GB 的数据
对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windo...
乌克兰和美国在俄对乌采取军事行动前成为网络攻击目标
现在,不少新报告指出了跟俄罗斯对乌克兰采取的军事行动直接或间接有关的黑客行动。许多专家预测,俄罗斯将在乌克兰发动重大网络攻击,如关闭该国的电网。虽然大规模的行动还没有实现,但关于小规模攻击的报告已经开始出现。 当地时间周一,Google表示,它发现了针对乌克兰官员和波兰军队的广泛的网...
关键 SonicOS 漏洞影响 SonicWall 防火墙设备
Hackernews 编译,转载请注明出处: SonicWall 发布了安全更新,其中包含一个跨多个防火墙设备的关键漏洞,未经身份验证的远程攻击者可以将其武器化,以执行任意代码并导致拒绝服务(DoS)情况。 根据CVE-2022-22274 (CVSS 得分: 9.4)的跟踪记录,...
研究发现 Linux 和树莓派成为凭证黑客攻击的首要目标
新的研究表明,黑客经常使用相同的常用密码,通常是默认密码获得服务器的访问权。来自Bulletproof的数据还显示,在黑客使用的顶级默认凭证列表中,默认的Raspberry Pi用户名和登录信息占据了突出位置。 在整个2021年,利用蜜罐进行的研究表明,目前总网络活动的70%是机器人流量。随着黑客越...
研究人员谈论潜在的没有性能成本的 CPU 安全漏洞缓解措施
一位安全研究员在上周末的自由和开源软件开发者欧洲会议(FOSDEM)上围绕缓解像Spectre和Meltdown这样的处理器漏洞发表演讲,所提出的方式力求让性能成本可以忽略不计。 Cyberus科技公司的Sebastian Eydam在2022年FOSDEM会议上发言,谈到有可能在几乎没有性能成本...
评论列表
发表评论
